vm 22/2017 ohje riskienhallintaan riskiarviointityökalu ......riskiarviointityökalu ohje 2 (14)...

Riskiarviointityökalu OHJE 1 (14) laatija: Arto Kangas

VM 22/2017 Ohje riskienhallintaan

Riskiarviointityökalu - käyttö- ja täyttöohje

SISÄLLYSLUETTELO:

JOHDANTO .............................................................................................................................................................. 2

1 PERUSTIEDOT RISKIEN ARVIOINTIA KOSKIEN ...................................................................................... 3

1.1 PERUSTIETOJEN TÄYTTÄMINEN KOHDITTAIN ............................................................................................... 3

2 RISKIEN ARVIOINTI – TAULUKON TÄYTTÄMINEN.................................................................................. 7

2.1 RISKIEN TUNNISTAMINEN ............................................................................................................................ 7 2.2 RISKIANALYYSI ........................................................................................................................................... 9 2.3 RISKIEN MERKITYKSEN ARVIOINTI ..............................................................................................................10 2.4 RISKIEN KÄSITTELY ....................................................................................................................................12 2.5 RISKIEN SEURANTA, KATSELMOINTI JA VIESTINTÄ ......................................................................................13 2.6 RAPORTOINTINÄKYMÄ ...............................................................................................................................13

3 RISKIEN ARVIOINTI – LAAJAN TAULUKON KÄYTTÖ JA TÄYTTÖ ......................................................14


Johdanto

Tämä ohje on VM 22/2017 Ohje riskienhallintaan liitteeksi tuotetun riskien arvioinnissa käytettävän työkalun käyttö- ja täyttöohje. Riskien arvioinnissa on suositeltavaa noudattaa seuraavaa prosessia:

Kuva 1. Riskienhallintaprosessi. Yllä esimerkkinä ISO 31000 perustuva riskienhallinnan ja

arvioinnin prosessien kuvaus. Lähde: Kuva perustuu standardiin SFS-ISO 31000.

Riskien arvioinnin yhteenvetoesimerkki:


1 Perustiedot riskien arviointia koskien

Toimintaympäristön määrittely on kuvattu tarkemmin VAHTI-ohjeessa 1/2017. Ennen riskien tunnistamisen käynnistämistä tulee riskien arvioinnin työkaluun täyttää perustiedot seuraavasti:

1. Riskiarvioinnin kohde, perustiedot 2. Riskiarvioinnin suorittaja ja ajankohta 3. Riskien arviointiin osallistuneet muut henkilöt 4. Keskeisimmät riskienhallintaan liittyvät dokumentit 5. Käytössä olevat luokittelussa sovellettavat riskiluokat 6. Riskimatriisi ja käytettävät arvot

1.1 Perustietojen täyttäminen kohdittain

1. Riskiarvioinnin kohde, perustiedot: - Valitaan pikavalinnoista sopivin vaihtoehto ja täydennetään:

o tarkennus tai kuvaus kohteesta o mahdolliset muut lisätiedot

- Arvioinnin kohteen omistaja tai arvioinnin kohteesta vastaava johtaja.

Pikavalinnassa:

VALITSE:

1 Organisaatio

2 Prosessi

3 Palvelu

4 Projekti

5 Hankinta

6 Muu, mikä?

Mikäli kohde on jokin muu kuin pikavalinnoissa esitetty (eli valinnaksi tulee ”6 Muu, mikä?”), tarkennus kirjoitetaan vapaamuotoiseen kenttään.

2. Riskiarvioinnin suorittaja ja ajankohta: - Arvioinnin suorittaja. - Arvioijan organisaatio. - Aloitusajankohta. - Lopetusajankohta.

Riskiarviointityökalu OHJE 4 (1) Arto Kangas Versio 5/2017

Taulukkoon täytetyt tiedot päivittyvät automaattisesti raporttinäkymään.

Arvioinnin suorittamisajankohdan ja arvioinnin tekijän kirjaaminen voi olla tärkeää esim. auditoinneissa riskien arviointien suorittamisesta raportoinnin kannalta.

3. Riskien arviointiin osallistuneet muut henkilöt, joista täytetään - Nimi, tehtävä tai rooli sekä organisaatio.

Mahdollisten jälkikäteen asioiden ja arviointipäätösten tms. tarkastamisen kannalta on tärkeää, että riskien kartoittamiseen, arviointiin ja käsittelyyn osallistuneiden yhteystiedot on kirjattu.

Osallistujien kirjaaminen helpottaa myös mahdollisen erikseen laadittavan arviointipöytäkirjan tai muistion laadinnassa.

4. Todetaan keskeisimmät riskienhallintaan liittyvät dokumentit (täyttämisessä pikavalinnat apuna ja tarvittaessa lisätietoja) - Riskienhallintapolitiikka. - Riskienhallinnan puitteet tai muu selvitys, kuinka riskienhallinta on organisaatiossa

järjestetty (mm. valtuuttaminen, kehittäminen ja johtaminen). - Riskienhallintaprosessi, onko esim. kuvaus olemassa tai onko se päivittämättä tms. - Riskien arviointiprosessi, onko esim. kuvaus olemassa tai onko se päivittämättä tms.

Riskienhallinta ja siihen kuuluva riskiarviointi perustuu dokumentoituun malliin ja prosessien kuvauksiin, joista keskeisimmät ovat:

- Riskienhallintapolitiikka (kuvaa riskienhallinnan periaatteet)

- Riskienhallinnan puitteet (kuvaa vastuut, valtuudet ja kehittämistoimet riskienhallinnalle)

- Riskienhallinnan ja -arvioinnin kuvaukset - Mahdolliset muut riskienhallintaan

olennaisesti liittyvät ohjeet ja kuvaukset

5. Käytössä olevat luokittelussa sovellettavat riskiluokat

- Tarvittaessa muutetaan tai täydennetään taulukkoa.

- Huom! Mikäli luokkia on enemmän kuin 6 kpl, taulukon automatiikka ei siirrä ylimeneviä

luokkia automaattisesti raportointinäkymään.


Työkaluun on listattu useimmin käytetyt riskiluokat. Mikäli organisaation luokittelu poikkeaa esitäytetystä, tulee muutostoimet ja mahdollinen päivittyminen esim. raporttiin suorittaa manuaalisesti tai muulla soveltuvalla tavalla.


6. Riskimatriisi ja käytettävät arvot - Valitaan pikavalinnan avulla käytettävä asteikko ja tarvittaessa kerrotaan tarkennuksia

lisätietokentässä. - HUOM! Pikavalinta ei päivitä Todennäköisyys x Vaikutus taulukkoon värejä tai lukuja,

joten se on päivitettävä manuaalisesti. - HUOM! Mikäli Asteikko poikkeaa esivalinnoista ja esim. väriskaalaltaan tai värien

asettelulta, on taulukkoa päivitettävä tältä osin manuaalisesti. Tämä voi vaikuttaa myös raportointinäkymän kautta välittyviin tietoihin, jonka vuoksi laajemmat muutokset on vietävä myös raportointinäkymään manuaalisesti.

Suositeltavaa on, että käytetään esim. 4x4 matriisia. Myös 6x6 matriisia pidetään melko hyvänä. Sen sijaan suurinta osaa parittomilla kertoimilla (esim. 3x3, 5x5 ja 7x7) olevien matriisien suurimpana heikkoutena pidetään sitä, että epävarmuuden korostuessa valinnat osuvat eniten juuri keskimmäisiin ruutuihin.

Matriisin arvot ja käytettävä väriskaala voi vaihdella paljonkin organisaatioittain, mutta suositeltavaa on käyttää organisaatiossa kuitenkin vain yhtä ja samaa riskimatriisia. Tämä suositus perustuu siihen, että vain näin voidaan varmistaa organisaation sisäisesti eri riskien toisiinsa vertaaminen.


2 Riskien arviointi – taulukon täyttäminen

Riskien arviointi on syytä tehdä vaiheittain seuraavasti:

1. Riskien tunnistaminen 2. Riskianalyysi 3. Riskien merkityksen arviointi 4. Riskien käsittely

Vaiheittain eteneminen on suositeltavaa siksi, että näin menettelemällä riskit tulevat ensin kirjattua riittävän kattavasti ja vasta sen jälkeen arvioitua ja analysoitua samanaikaisesti, joiden vaiheiden jälkeen myös käsiteltyä samanaikaisesti.

Yleensä, kun erilaisia riskejä on riittävän laajasti tunnistettu ja kirjattu, voidaan riskejä tarkastella kokonaisvaltaisesti ja samalla luoda mahdollisuus riskien keskinäiselle arvottamiselle ja kriittisyyksien ja merkitysten arvioinnille. Riski kerrallaan jokaisen sarakkeen heti alussa täyttäminen ja välittömästi riskikohtaisesti tarkastelu johtaa tyypillisesti siihen, että jo tehtyjä valintoja ja arvioita jouduttaisiin useimmiten muuttamaan aina uusia riskejä kirjattaessa.

2.1 Riskien tunnistaminen

Tunnistamisvaiheen tavoitteena on havaita ja kuvata kaikki merkittävät riskit ja mahdollisuudet, riskien lähteet, vaikutusalueet, tapahtumat, mukaan lukien olosuhteiden muutokset ja niiden syyt sekä mahdolliset seuraukset. Tunnistamiseen osallistuvien henkilöillä on oltava tehtävään riittävä osaaminen ja asiantuntemus. Tässä vaiheessa on otettava huomioon organisaatioon vaikuttavat uhkatekijät riippumatta siitä, onko niiden lähde organisaation itsensä hallinnassa.

Kuva 2. Riskien tunnistaminen. Riskejä tunnistettaessa ne kirjataan mahdollisimman kattavasti.

Lähde: Kuva perustuu standardiin SFS-ISO 31000.


Riskin tunnistamisvaiheessa on suositeltavaa noudattaa seuraavaa järjestystä:

- Ensimmäiseksi kirjataan joko riskin nimi tai mikäli riskille ei heti pystytä muodostamaan ytimekästä nimeä, niin kuvataan riskiä muutamalla sanalla.

- Em. nimeämisen ja kuvaamisen jälkeen päätetään, mihin riskiluokkaan riski voidaan sijoittaa. Riskien arviointityökalussa on käytetty esimerkkinä riskiluokittelua:

1. Strategiset riskit (esim. riskit, joilla toteutuessaan olisi suora vaikutus tavoitteiden saavuttamiseen)

2. Operatiiviset riskit (esim. riskit, joilla toteutuessaan olisi suora vaikutus toimintaan tai palvelun laatuun)

3. Taloudelliset riskit (esim. riskit, joilla toteutuessaan olisi suora vaikutus talouteen, varojen käyttöön tai rahoitukseen)

4. Vahinkoriskit (esim. riskit, joilla toteutuessaan olisi suora vaikutus ihmisiin, koneisiin, laitteisiin, toimitiloihin, tms.)

- Riskin luokittelun jälkeen kullekin yksittäiselle riskille on suositeltavaa määritellä

(organisaation sopiman ja kuvaaman käytännön mukaan) yksilöivä tunniste. Riskin tunniste voi muodostua esimerkiksi riskiluokasta (esim. riskiluokan etukirjain, vrt. varmistettava yksilöitävyys) ja juoksevasta numerosta. Esimerkiksi ensimmäinen strategisten riskien luokkaan sijoitettu riski voisi saada tunnisteeksi S-01, jossa S tarkoittaa strategista ja 01 on juokseva numero. Tässä vaiheessa ei yleensä vielä arvioida todennäköisyyttä eikä vaikutuksia.

Mikäli organisaation riskien luokittelu ja riskiluokkien nimet poikkeavat tässä esitetystä esimerkistä, tulee organisaation päivittää työkalua tai sen raporttiosuuteen kerättäviä tietoja manuaalisesti tai muutoin työkalua soveltuvin osin itse päivittämällä.


2.2 Riskianalyysi

Analyysin kautta luodaan perusta päätöksille siitä, mitä ja miten riskejä käsitellään. Analyysissä todennäköisyys ja vaikutukset perustuvat usein subjektiivisiin näkemyksiin, jolloin yhtä ainoaa ja kiistämätöntä arvioita riskistä ja sen tasosta on mahdotonta muodostaa.

Kuva 3. Riskianalyysi. Arvioitavana ovat riskin suuruus ja luonne (todennäköisyys ja vaikutus).


Riskianalyysissä arvioidaan riskikohtaisesti todennäköisyyttä ja vaikutusta. Analyysissä käytetään organisaation päättämää ja valitsemaa asteikkoa.

Todennäköisyyden arvot voivat olla esim.

1. Epätodennäköinen 2. Mahdollinen 3. Todennäköinen 4. Lähes varma

Vaikutuksen arvot voivat olla esim.

1. Vähäinen tai ei lainkaan 2. Kohtalainen 3. Merkittävä 4. Kriittinen

Useimmiten riskin suuruus lasketaan todennäköisyyden ja vaikutuksen tulona. Kun jokaisen riskin osalta on arvioitu todennäköisyys ja vaikutus, voidaan siirtyä riskien merkityksen arviointiin.

Mikäli organisaation käyttämät ja päättämät arvot poikkeavat tässä esitetyistä esimerkeistä tulee organisaation muuttaa tai päivittää työkalua tarvittavilta osin manuaalisin toimin.


2.3 Riskien merkityksen arviointi

Merkityksen arvioinnin kautta riskien käsittelytarpeet tulevat järjestelmällisesti hahmotetuksi ja ne saadaan tärkeysjärjestykseen. Arvioinnin yhteydessä voi käydä ilmi, että joidenkin riskien osalta tarvitaan uudelleenarviointi tai muu täydentävä analyysi. Merkityksen arvioinnin yhteydessä voidaan myös joidenkin havaittujen riskien osalta päättää, että niitä ei käsitellä seuraavissa vaiheissa.

Kuva 4. Riskien merkityksen arviointi. Lisäksi päätetään mahdollisista uudelleenarviointitarpeista.


Riskin suuruus saadaan todennäköisyyden ja vaikutuksen tulona. Tämän jälkeen tulee arvioida riskin suuruuden mukaan muodostunutta suositusta ja arvioida riskin merkitystä toiminnalle. Tässä yhteydessä kullekin riskille määritellään jatkotoimenpidetarpeet. Joidenkin riskien osalta voidaan myös päättää, että jatkotoimenpiteitä ei tarvita. Merkityksen arvioinnissa tulee ottaa huomioon myös psykologiset ja inhimilliset sekä ajan ja riippuvuuksien vaikutukset.

Riskin suuruutta esitettävän arvon perusteella muodostettavat arviot voivat olla esim.

- Ei riskiä - Huomioitava riski - Merkittävä riski - Sietämätön riski

Johtopäätökset voivat olla esim.

- Kriittinen (tai ei siedettävissä oleva) riski - Merkittävä (tai nopeita toimenpiteitä vaativa)

riski - Huomioitava (tai seurattava) riski - Ei riskiä (tai hyvin matala tai ei toimenpiteitä

vaativa riski) - Jäännösriski (riski tai riskin osa, joka jää voimaan tai jolle ei voi tai haluta tehdä toimenpiteitä) - Otettava riski (sisältää esim. hyvän mahdollisuuden)


Mikäli organisaation käyttämät ja päättämät arvot tai käsitteet poikkeavat tässä esitetyistä esimerkeistä tulee organisaation muuttaa tai päivittää työkalua tarvittavilta osin manuaalisin toimin.


2.4 Riskien käsittely

Käsittelyprosessissa päätetään riskikohtaisista toimenpiteistä. Niiden toteuttamiselle nimetään vastuulliset. Käsittelyvaihtoehdot ovat useimmiten seuraavia (vrt. joissakin tapauksissa samaan riskiin voi kohdentua yksi tai useampi vaihtoehto):

- torjuminen esim. pidättäytymällä riskejä aiheuttavasta toiminnasta

- riskin ottaminen tai lisääminen jonkin mahdollisuuden saavuttamiseksi

- riskin lähteen poistaminen

- todennäköisyyteen vaikuttaminen

- seurauksiin varautuminen tai vaikuttaminen

- jakaminen osittain tai kokonaan yhden tai useamman osapuolen kesken - tilanteen säilyttäminen sellaisenaan.

Kuva 5. Riskien käsittely. Toimenpiteiden

toteuttamista on valvottava aktiivisesti.

Lähde: Kuva perustuu standardiin SFS-ISO

31000.

Riskin käsittelyn toimenpiteinä ovat esim.

- Vaatii välittömiä toimenpiteitä - Luotava suunnitelma (riskin)

pienentämiseksi - Seurattava riskin kehittymistä - Ei vaadi akuutteja toimenpiteitä

Lisäksi on nimettävä v

- Vastuuhenkilö (vastuuhenkilöt) - Tavoiteaikataulu

Käsittelyprosessissa onnistuminen edellyttää useimmiten erillisen riskienkäsittelysuunnitelman laatimista, toteuttamista ja seurantaa. Suunnitelmasta käytetään usein myös nimitystä riskisalkku. Suunnitelman pääkohdiksi valitaan useimmiten mm.

- riskit ja niiden käsittelytavat

- suunnitelman hyväksyjätahot ja toteuttamisvastuulliset

- riskeille tehtävät toimenpiteet - käsittelyn tavoiteaikataulut, raportointi ja seuranta.


2.5 Riskien seuranta, katselmointi ja viestintä

Seurannan ja katselmointien tulee olla osa riskienhallintaprosessia. Niihin on kuuluttava aktiivista

valvontaa ja säännöllisiä tarkastuksia. Toimenpiteisiin liittyvät vastuut on määriteltävä selvästi.

Kaikkien riskienhallinnan ja arvioinnin vaiheissa on huolehdittava myös riittävästä osapuolten

välisestä viestinnästä.

2.6 Raportointinäkymä

Riskien arvioinnin työkaluun on laadittu myös raportointinäkymä, josta on tulostettavissa

vaakasivuina (esim. A4 kokoon sopivia):

- Raportin kansilehti, jossa näkyy toteutusajankohta, kohde lisätietoineen sekä

vastuuhenkilö.

- Riskien arvioinnin yhteenveto, johon sisältyy mm.

o arvioinnin aloitus- ja lopetusajankohta

o arvioija ja arvioijan edustama yritys

- Kohde lisätietoineen ja kohteesta vastuullinen

- Tiivistelmä riskienhallinnan dokumentaatiosta (mm. onko dokumenttia ja mikä on sen

status)

- Yhteissumma tunnistetuista riskeistä sekä tiivistelmä riskien merkityksistä, kuten

esimerkiksi

o sietämättömät riskit

o merkittävät riskit

o huomioitavat riskit

o vähäiset tai ei lainkaan riskit

Samaan näkymään tulevat tarvittaessa myös seuraavat lisätiedot:

- Riskiluokat, joita organisaatio käyttää.

- Riskien arviointiasteikon, jota organisaatio käyttää.

- Luettelon muista riskien arviointiin osallistuneista.


3 Riskien arviointi – LAAJAN taulukon käyttö ja täyttö

Riskien arviointia varten on käytettävissä

myös laajempi arviointitaulukko.

Lähtökohtaisesti jokainen organisaatio itse

päättää, minkä laajuista taulukkoa tai

arviointimenetelmää arvioinnissa käyttää.

Organisaatiossa ja sen eri osissa (yksiköt

tms.) tulisi käyttää samaa ja samat asteikot

sisältävää arviointitaulukkoa.

Kuva 6. Riskienhallintaprosessin yleiskuva

Lähde: Kuva perustuu standardiin SFS-ISO

31000.

Laaja arviointitaulukko sisältää seuraavat pääkohdat ja niiden sisältämät sarakkeet:

- Riskien tunnistaminen: o riskintunniste

o riskiluokka

o riski (riskin nimi)

o syyt ja tekijät riskin taustalla (eli miksi riski voi toteutua)

o seurauksia riskin toteutumisesta (eli mitä voi tapahtua

- Riskin tunnistaminen o todennäköisyys (pikavalinnoilla)

o vaikutus (pikavalinnoilla)

- Riskin merkityksen arviointi o riskin suuruus (todennäköisyys x vaikutus, tulo ja selite tulevat automaattisesti)

o toimenpidetarpeet (merkityksen arviointi pikavalinta-avusteisesti)

- Riskien käsittely (mukaan lukien seuranta ja valvonta) o toimenpide-ehdotukset riskin käsittelylle (pikavalinta-avusteisesti)

o toimenpiteiden vapaamuotoinen kuvaus (vapaa teksti)

o vastuuhenkilö (esim. RACI-mallin mukaan tarkoitettu R-henkilö)

o tavoiteaikataulu (tavoitepäivämäärä toimenpiteiden tekemiselle)

o tavoitteen tarkastus (päivämääräkenttä tarkastuspäivää varten)

o tarkastaja (esim. RACI-mallin mukaan tarkoitettu A-henkilö)

o mahdollisuuksien arviointisarakkeen (pikavalinta-avusteisesti)

o sanallinen kuvaus mahdollisuudesta (vapaa tekstikenttä)

o lisätietoja –kenttä

Laaja riskienarviointitaulukko sisältää enemmän sarakkeita kuin yksinkertaistettu arviointitaulukko.

Tarvittaessa organisaatio voi muokata (esim. lisätä tai poistaa sarakkeita) arviointitaulukkoa

tarpeisiinsa sopivalla tavalla. Ennen muokkaamistoimia on suositeltavaa tallettaa alkuperäinen

taulukko niin, että se on tarvittaessa käytettävissä tai saatavilla, mikäli esim. muokkaustoimet

epäonnistuvat ja muokkaustoimet halutaan aloittaa tai toteuttaa uudelleen ns. alusta alkaen.

Riskienhallinnan ja arvioinnin selkeyden varmistamiseksi on kuitenkin syytä pysytellä riittävän

yksinkertaisissa malleissa ja menetelmissä. Riskiluokkien määrä, riskin todennäköisyyden ja

vaikutuksen asteikko, toimenpidesuositusten vaihtoehtojen määrä, ym. on suositeltavaa pitää

mahdollisimman pieninä. Suositus perustuu siihen, että liian monet tasojen tai luokkien ym.

vaihtoehdot voivat johtaa huomion kiinnittymiseen liikaa työkalun käyttämisen vaikeuteen ja

menetelmän monimutkaisuuteen. Riskienhallinnassa olennaista on kuitenkin riskien tunnistamisen,

analysoinnin, merkityksen arvioinnin ja käsittelyn tapahtuminen riittävän kattavasti.

vm 22/2017 ohje riskienhallintaan riskiarviointityökalu ......riskiarviointityökalu ohje 2 (14)...

Documents